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Wexlcwijze voor het met: toepassing van een functie (8) 
en afhankelijk van een s leut el symbol enreeks (4) vercijferen 
van een ingangssymbolenreeks (3) naar een uitgangssymbolen- 
reekB (5, 20), waarbij voorafgaand aan het vercijferen de 
functie (8) afhankelijk van symtoolen van de ingangssymbolan- 
reeks (4) gewijzigd wordt. 



Figuur 2 
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Korte aanduiding: Werkwijze voor het mec toepassing van een 

functie en een sleutel verci]feren van een 
reeks symbolen. 
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De uitvinding heeft betrekking op een werkwijze volgens 
de aanhef van conclusie 1. 

Eon werkwijze van deze aoort is bekend uit 
EP-A-0399587. Bij de bekende werkwijze bestaat de voor net 
vercijferen toegepaste funccie uit een niet-lineaire functie 
die gevormd wordt door een substitutietabel ("S-boxM die 
afhankelijk van de sleutel gegenereerd wordt. Het document 
geeft geen verdere beschrijving van de wijze waarop de 
substitutietabel gegenereerd wordt- Voor het verkrijgen van 
goede statist ische eigenschappen van de uitvoer van de 
aubetitutietabel ten opzichte van variabele invoer wordt een 
door toepassing van da substitutietabel verkregen reeks 
symbolen gecombineerd met een even lange reeks van Btatis- 
tiech goed gespreide gymbolen. De reeks symbolen die daarbij 
15 verkregen wordt kan gebruikt worden voor het vercijferen van 
een te vercijferen ingangseymbolenreeks in een vercijf erde 
uitgangssymbolenreekB . Door toepassing van een sleutelafhan- 
kelijke substitutietabel in plaats van een vaste substitu- 
tietabel wordt het vercijf eringealgoritme versterkt . 
20 De bekende werkwijze heeft als bezwaar dat wanneer in 

hoofdzaaJt steeds d«2elfde sleutel gebruikt wordt de genoemde 
versterking van het vercijf eringsalgoritme in de praktijk 
aanzienlijk teniet gedaan wordt. Dit kan zich bijvoorbeeld 
voordoen bij autenticatie bij gebruik van aen chipkaart, 
25 zoala een telefoonkaart en een OSM-kaart. 

De uitvinding beoogt de bezwaren van de bekende werk- 
wijze op te heffen. Daartoe verechaft de uitvinding een 
werkwijze als beschreven in conclusie l. 

De verzender van de vercijferde uitgangseymbolenreekB 
en de ontvanger van deze reeks moeten beide de beechikking 
hebben over dezelfde sleutel en de voor het vercijferen 
gebruikte ingangssymbolenreeks . althans het gedeelte van 
laatstgenoemde reek* dat gebruikt werd voor het wijzigen van 
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de functie. Hierdoor is de werkwijze in het bijzonder ge- 
schikt voor authenticate, waarbij de ontvanger van een 
vercij ferd* symbolenreeks kan controleren of een verzender 
met een aan de ontvanger gasuggereerde identiteit een bi 3 - 
passende sleutel gebruikt heeft en bij een posit ieve uit- 
komst van deze controle de identiteit van de verzender voor 

de ontvanger verzekerd is. 

D« eymbolenreeks die gebruikt wordt voor het wijzigen 
van de functie is in het bijzonder variabel en is bijvoor- 
beeld een per eeaeie opgewekt uitdaaggetal ("challenge 
number"), een Under) willekeurig getal, of een variabele 
attribuut van de verzender, zoals een op een chipkaart 
bijgehouden saldo. 

Wanneer de voor het vercij feren gebruikte niet-lineaire 
15 functie een inverteerbare functie was kan de ontvanger van 
de vercij ferde symbol enreekB de genoemda controle uitvoeren 
met gebruik van dezelfde functie, dezelfde sleutel en de 
ontvangen symbolenreeks ale invoer voor de functie. Het 
resultaat moet gelijk zijn aan de voor het vercijferen 
20 gebruikte ingangssymbolenreeka . 

Omdat de ontvanger de bij het vercijferen gebruikte 
ingangssymbolenreeka kent kan de ontvanger de controle ook 
uitvoeren door dezelfde bewerkingen uit te voeren als door 
de verzender gedaan zijn, waarbij de door de ontvanger 
25 ontvangen reeks gelijk moet zijn aan de door de ontvanger 
opgewekte reeks. In dat geval is het geen eis dat de functie 
een inverteerbare functie is, waardoor bij gelijk blij vends 
complexiteit een starker vercij f eringsalgoritme gerealiseerd 
kan worden dat beter bestand is tegen aanvallen. 
30 De voor het vercijferen toegepaste functie is bij 

voorkeur een niet-lineaire functie die gevormd kan worden 
door een subs ti tut ietabel of een cryptograf ische functie, 
zoals een functie waarbij affhankelijk van de invoer en de 
sleutel bepaalde bewerkingen al of niet uitgevoerd worden. 
35 verdere eigenschappen en voordelen van de uitvinding 

zullen blijken uit de hierna volgende toelichting van uit- 
voeringsvormen van de uitvinding in combinatie met de bijge- 
voegde tekeningen , waarin : 
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fig. 1 ecn schema toont van een bekend vercijf eringsal- 

goritme ; , . 

fig, 2 een schema toont van een eerste uitvoeringsvorm 

van do uitvinding; 

fig. 3 een stroomdiagram toont voor de werkmg van de 

uitvoeringsvorm volgene fig. 2; en 

fig. 4 een andere uitvoeringsvorm van de uitvinding 

toont. . . . . 

in fig 1 is door middel van een blok 1 een bekend 
vercijferingsalgoritme (of encrypt ie-algoritme> voorgesteld. 
Het vercijferingsalgoritme maakt gebruxk van een of meer, 
eveneens door bloWcen voorgestelde functies 2. Uitgaande van 
een te vereijferen ingangssymbolenreeks IN 3 bepaalt net 
vercijferingsalgoritme met behulp van een geheime sleutel 4 
een vercijferde uitgangssymbolenreeks UIT 5- Het bekende 
vercijferingsalgoritme DES werkt volgens dit principe. 
waarbij acht niet-lineaire functies gebruikt worden die ge- 
vormd worden door substitutietabellen ("S-boxes") . De uit- 
vinding is echter niet beperkt tot het DES algoritme en is 
ook niet beperkt tot het gebruik van niet-lineaire functies 
en van substitutietabellen voor de functiea. 

Fig. 2 toont een schema van een op het vercijferingsal- 
goritme van fig. 1 gebaseerd vercijferingsalgoritme 7 vol- 
gens de uitvinding. De functiea zijn aangegeven met verwi 3 - 
zingscijfer 8. De functias 8 zijn te wijzigen door toepas- 
eing van een bijbehorend wijzigingaalgoritme 9 op basis van 
de ingangssymbolenreeks IN 3 of een gedeelte daarvan. De 
wijzigingsalgoritmen 9 hoeven niet gelijk te zijn. 

Hierna zal met verwijzing naar het stroomdiagram van 
fig. 3 de werking van het vercijferingsalgoritme van fig. 2 

toegelicht worden . 

Ben wijzigingsalgoritme 9 wijzigt de functie B op basis 
van een wijzigingssymbolenreeks die initieel van de ingangs- 
symbolenreeks IN 3 afgeleid wordt (blok ll) . Het wijzigen 
van de functie 8 vindt plaats in een aantal stappen, te 
weten de stappen n - o t/m n - Nmax, waarbij Nmax vast of 
ook afhankelijk van btjvoorbeeld de reeks IB 3 ^an zijn . Daarom 
wordt bij aanvang van het wijzigen van de functxe 8 een stappentelier 
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naar 0 geinitialiseerd (blok 12) . Vervolgens wordt de func- 
tie 8 op basis van de waarde van n en de wij zigxngsreeke 
gewijaigd (blok 13). Vervolgens wordt het aantal getelde 
stappen met: 1 verhoogd (blok 14) . Vervolgens wordt gecontro- 
leerd of de functie 8 reeds het maximum aantal keren gewij- 
zigd ia (blok 15) . Wanneer aan deze voorwaarde voldaan is i. 
het vijzigen van de functie 8 ten einde en anders wordt de 
wijzigingssymbolenreeks gewijsigd (stap 16) en wordt op 
basis van de nieuwe waarde van n en de gewijzigde wi^i- 
gingsBymbol«nreeks de functie 8 opnieuw gewijzigd (stap 13) . 
in de hierna volgende Tabel I is een voorbeeld gegeven voor 
de werking van het in fig. 2 gecoonde verci jf eringsalgontme 
7 . 



15 



TABEL 1 



20 



25 



etap 
n 


wijzigings- 
symbolenreeks 

voor n>0 
x(2) : - 
(x(0) + x (1) )mod8 


vanaf stap n » 0 

i 01234567 
y(i) 30576412 


x(0) x(l) x(2) 


0 


5 2 3 


4_05763_12 


1 


2 3 7 


4 £&76312 


2 


3 7 5 


452fi63l2 


3 


7 5 2 


45726312. 


4 


5 2 4 


45723_6_10 


5 


2 4 7 


456.23210 


6 


4 7 6 


4562173.0 


7 


7 6 3 


4562173^ 


8 


6 3 5 


1562^730 


9 


3 5 1 


126£4730 



Er wordt aangenomen dat de symbolenverzameling acht 
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symbolen omvat. die in de Tabel weergegeven zijn met de 
cijfers 0 t/m 7. Verder wordt aangenomen dat de functxe 8 
gevormd wordt door een substitutiatabel . Deze tabel kan 
gerealtseerd worden door een herschrijfbaar geheugen met 
acht geheugenlocaties met adressen of rangnumtners i - 0...7. 
De geheugenlocaties bevatten elk een van de symbolen, waar- 
bij elk symbool slechts eenmaal in de geheugenloceta.es 
voorkomt. In Tabel I is de inhoud van een geheugenlocatxe 
met adres of rangnutnmer i aangegeven met yd) - Initieel 
bevatten de geheugenlocaties voor i = 0...7 respect ievelijk 
de stolen 3, 0. 5, 7, 6, 4, i, 2. Deze reeks symbolen 
vormt een initials substitutiatabel. Een symbool van een ce 
vercijferen symbol enreekg wordt beschouwd als adres of 
rangnummer i *n wordt vervangen door hat symbool xn de 
geheugenlocatie met dat adres. Volgens de initiele substitu- 
tietabel van Tabel I wordt dus bijvoorbeeld 0 vervangen door 
3 , 1 door 0 , 2 door 5, . . . , 7 door 2 . 

Alvorena een te vercijferen symbolenreeks vercijferd 
wordt, wordt volgens de uitvinding eerst de initiele substi- 
tutiatabel gewijzigd. Volgens het voorbeeld van Tabel I 
gebeurt het wijzigen in tien stappen (a tap n - 0 t/m n - 
Nmax). De wijziging vindt plaats afhankelijk van de symbolen 
van de te vercijferen symbolenreeks , alt nans van een aantal 
symbolen daarvan. In Taoel I zijn de te vercijferen symbolen 
die gebruikt worden voor het wijzigen van de subst itutieta- 
bel de bij stap n - 0 aangegeven symbolen 5, 2 en 3. Deze 
symbolen worden toegewezen aan respectieve variabelen x<0) , 
x(l) en x(2) . 

Tijdens de eerste stap met n = 0 wordt het symbool 
y (n), dat wil zeggen het symbool 3 van geheugenlocatie 0, 
verwisseld met het symbool y(x(0)). te weten symbool 4 van 
locatie x(0) -5. In Tabel I zijn voor de duideli jkheid voor 
elk van de tien stappen n = 0 ... 9 de verwisselde symbolen 
van da subst itutietabel van acht symbolen onderstreept . 

Vervolgens wordt een hulpvariabele h berekend die 

gelijk is aan: 

h - (x(0) + x(D) modulo (het aantal mogelijke 

symbolen) , of in het voorbeeld 
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h = (x<0) + x (1)) modulo 8. 
Vervolgena worden de symbolen van de wi j zigingasymbo- 
lenreeks x(0), x(l) en x(2) als volgt vervangen (":=" bete- 
kent "wordt", dat wil zeggen een toawijzing) • 
S x(0) : - x(i> , 

x(l) : = x(2) , en 
x(2) : = h. 

Het voor elke stap verwisselen van symbolen op basis 
van net stapnummer en de symbolen van de wi jzigingssymbolen- 
10 reekB wordt een geschikt aantal Keren herhaald, in hat 
voorbeeld van Tabel I Umax + 1 - -10 keer. Aan het einde van 
die wij zigingsalgoritme is de initiele substitutietabel : 
3, 0, 5, 7, 6, 4, 1, 2 

vervangen door een uiteindeli jke subatitutietabel •. 
15 1. 2, 6, 5, 4, 7, 3, 0. 

Vervolgens kunnen de Bymbolen van een ingevoerde te 
vercijferen reeks in overeenstemming met de rangschikking 
van de symbolen in de uiteindeli jke subst itutietabel vervan- 
gen worden voor het leveren van een uitgaande vercijferde 
20 symbolenreeks . Hierdoor worden in het voorbeeld de reeks 
ingevoerde symbolen 5, 2, 3 vervangen door rsspectieveli jk 
7, 6, 5. Deze uitgaande symbolenreeks wordt voor eventuele 
verdere stappen van het verci jferingsalgoritme gebruikt. 

Fig. 4 toont het schema van een verci j feringsalgoritme 

2 5 18, dat van de verci j f eringsalgoritme 5 van fig. 2 verschilt 

doordat het wij zigingsalgoritme 9 vervangen ie door een 
wij zigingsalgoritme 19. Het wij zigingsalgoritme 19 is, net 
als het wij zigingsalgoritme 9, afhankelijk van een aantal te 
vercijferen symbolen IN 3, maar bovendien van een aantal 

3 0 symbolen van de sleutel 4. 

Tabel II geeft een voorbeeld van de werking van het 
wij zigingsalgoritme 19. 
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TABKU 



II 



a cap 
n 


x(2) 


wi j zigings- 
symbolenreeka 
voor n>0 
:«(x(0) + x(l) )mod8 


vanaf stap n = 0 
verwieael y(nmod8) 
en y (x(0) ) 

„ n i -a a q 


6 


7 




x(0) 


x(l) 


X (2] 


X(4) 

x(3) 


1 u 

yd) 3 


U 


c 


7 

r 


6 


4 


1 


2 


0 


5 


2 


3 




A 




0 


5 


7 


6 




1 


2 


1 


2 


3 


2 


4 


7 


4 


5 


0 


7 


6 


3 


1 


2 


2 


3 


2 


4 


7 


5 


4 


5 


2 


1 


6 


3 


1 


2 


3 


2 


4 


7 


S 


5 


4 


5 


0. 


7 


6 


3 


1 


2 


4 


4 


7 


5 


5 


6 


4 


5 


0 


7 


£ 


3 


1 


2 


5 


7 


5 


5 


6 


3 


4 


5 


0 


7 


6 


2 


1 


i 


b 


5 


5 


6 


3 


5 


4 


5 


0 


7 


6 


1 


2 


3 


7 


5 


6 


3 


5 


2 


4 


5 


0 


7 


6 




2 


1 


a 


€ 


3 


5 


2 


3 




5 


0 


7 


6 


3 


4 


1 


9 


3 


5 


2 


3 


1 


2 


1 


0 


5 


6 


3 


4 


1 
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Tabel XI verachilt van Tabel I slechts doordat da 
wijzigingssymbolenreeke x(o) , x<X>, x(2) aangevuld is met 
x(3>, x(4). De symbolen x(3> en x<4) zijn afgeleid van de 
sleutel 4. In net voorbeeld van Tabel H is de initlele 
wijzigingssymbolenreeks 5, 2, 3, 2. 4. De uiteindeli jke 
eubstitutietabel is volgens Tabel H: 
2, 7, 0, 5, 6, 3, 4, 1. 

De ingevoerde symbolenreeks IN 3 met de symbolen 5, 2, 
3 wordt in overeenetemming met deze uiteindeli jke eubstitu- 
tietabel vervangen door de vercijferde uitgangs symbolenreeks 
UIT 20 met de symbolen 3, 0, 5. 

De symbolen van de initiele eubstitutietabel kunnen 
willekeurig gerangschikt zijn, zolang zowel de sender van 
een vercijferde symbolenreeks UIT 5 en de ontvanger van da 
vercijferde aymbolenreeks dezelfde initiele eubstitutietabel 
gebruiken- Wanneer aan deze voorwaarde steede vol da an kan 
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worden lean net verci jf eringsalgoritme versterkt worden door 
als initiele substitutietabel een substitutietabel te ge- 
bruiken die tijdens een voorgaand vercijferingsproces ge- 
bruikt is. bijvoorbeeld de laatst gebruikte uiteindalijke 
substitutietabel. Wanneer het gevaar bestaat dat niet steeds 
aan de genoemde voorwaarde voldaan wordt, kan erin voorzien 
worden dat de ontvanger van de vercijferde symbolenreeks 5 
een aantal van dergelijke voorgaande substitutietabellen 
onthoudt en een oudere daarvan gebruikt wanneer hat ontcij- 
feren van de ontvangen reeks tot een negatiaf controleresul- 
taat leidt. 

Doordat zowel tijdens het verci j feren van een reeks 
symbolen als tijdens het ontcij feren daarvan de gebruikte 
sleutele gelijk moetan zijn en kennis aanwezig moet 2i 3 n van 
15 de vercijferde reeks symbolen IN 3 kan de ontvanger van de 
vercijfarde reeks precise dezelfde bewerking, te weten een 
vercijfering, uitvoeren als de ontvanger gedaan heeft en de 
resultaten met elkaar vergelijken. In dat geval kan voor de 
functie een niet - inverteerbare functie gebruikt worden die. 
20 b±j gelijk blijvende complexiteit , een sterker vercijfe- 
ringsalgoritme mogelijk maakt. 

De in combinatie met de Tabellftn I en II toagelichte 
wijzigingsalgoritmen dienen sleehts als voorbeeld. Voor het 
wijzigen van de wi j zigingeeymbolenreeks kunnen bijvoorbeeld 
voor elke stap meer dan twee en/of een verschillend aantal 
modulo optellingen toegepast worden en kunnen de symbolen 
van de wijzigingsreeke op andere wijzen geherrangschikt 
worden in plaats van door middel van een eenvoudige ver- 
schuiving - 
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COMCI.PgIg.S 



1. Werkwijze voor het met toepaeeing van een functie (2, 
8) en afhankelijk van een sleutelsymbolenreeks U> vercijfe- 
ren van een ingangseymbolenreeks (3), ©mvattende: 

het door iniddel van een wijzigingsalgoritme en afhanke- 
lijk van een wij zigingssymbolanreeka wijzigen van de func- 
tie; 

het aan de gewijzigde functie onderwerpen van de in- 
gangfieymbolenreeks voor het afhankelijk van de sleutelsymbo- 
lenreeks bepalen van een uitgangssymbolenreeks (5, 20), 
met het kenmerk, dat het wijzigingsalgoritme (9, i9> een 
aantal sequentiele stappen omvat, waarbij in elke atap de 
functie (8) afhankelijk van de wijzigingssymbolenreeke 
gewijzigd wordt en na elke atap de wijzigingssymbolenreekB 
door middel van een subalgoritme gewijzigd wordt, waarbij 
15 voor de eerste stap (n = 0) ale wij zigingscymbolenreeks een 
initiele wij zigingssymbolenx-eeks gebruikt wordt die van de 
ingangssymbolenreek6 (3) afgeleid wordt. 

2. Werkwijze volgena conclusie 1, net het kexunark, dat de 
20 initiele wijzigingseymbolenreeks tevene van de sleuteleymbo- 

lenreeke <«) afgeleid wordt. 

3. Werkwijze volgene conclusie 1 of 2, mot het kenmerk, 
dat het wijzigingsalgoritme (9, 19) net vervangen omvat van 

25 een eymbool van de wijzigingsaymbolenreeks door een vervan- 
gend symbool dat verkregen wordt door een optelling van twee 
of meer symbolen van de wi jzigingssymbolenreeks modulo het 
aantal tnogelijke verBchillende symbolen. 

3 0 4. Werkwijze volgene een voorgaande conclueie, met hat 
kenmerk, dat het wijzigingsalgoritme {9. 19) het wijzigen 
van xangnummers omvat van twee of meer van de symbolen van 
de wi jzigings symbol en reeks . 

35 5. Werkwijze volgene een voorgaande conclusie, met hat 
kenmerk, dat voor het wijzigen van de functie als initiSle 
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functie de functie gebruikt wordt die eerder gebruiKt werd 
voor het bepalen van een eerdere uitgangssymbolenreeks (5, 

20) . 

6. Werkwijze volgens een voorgaande conclude, mat bet 
k-xaneric, dat de functie een substitutief unctie is. 

7 Werkwijze volgena een van de concludes l fc/m 5, met 
het ket«ark, dat de functie een niet-inverteerbare functie 

is. 

8. werkwijze volgene een van de voorgaande concluaiea met 
het kenmerk, dat de functie een substitutietabel (-9- -box) 
omvat die vervangenda aymbolen voor de symbolen van de 
ingangssymboienreeks bevat. en het wi j zigingsalgontme het 
afhankelijk van de wij zigingssyrnbolenreeka verwxaselen 
twee of meer symbolen van de aubstitutietabel omvat. 
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